Einige CAs belieben vorsichtig beim Streichen von SHA-1. Das hängt insbesondere mit Windows XP zusammen: Der Support für XP lief im April 2014 aus, nichtsdestotrotz bleibt XP für zahlreiche Anwender und leider auch diverse Behörden und Unternehmen das Betriebssystem Nummer eins. Damit Windows XP SHA-2 versteht, ist die Installation vom Service Pack 3 (SP3) notwendig. Unterstützt werden dann die SHA-2-Hashes SHA-256, -384 sowie -512. Komplizierter wird es mit der Verwendung von Windows Server 2003: Das SP2 unterstützt den Hash-Algorithmus gar nicht, Sie können allerdings die Funktionalität teilweise nachrüsten. Wie das funktioniert, erfahren Sie bei Microsoft in den Knowledge-Base-Einträgen KB938397 sowie KB968730.

 

Den Ankündigungen diverser Entwickler zufolge, werden viele in den kommenden Monaten auf SHA-2 umstellen. Hier kann es zu Kompatibilitätsproblemen kommen. Die Autoren des Windows-PKI-Blogs geben folgende Handlungsempfehlungen:

  • Setzen Sie auf Windows XP, installieren Sie das SP3, damit SHA-2 unterstützt wird.
  • Benötigen Ihre XP-Systeme Zertifikate von SHA-2-Zertifizierungsstellen, wenden Sie den Knowledge-Base-Artikel KB968730
  • Bestellen Sie SHA-2-Zertifikate für Windows Server 2003, installieren Sie das SP2 und halten Sie sich an die Anweisungen der KB938397.

 

Eine weitere Ausnahme bildet das Verwenden von S/MIME-Zertifikaten in Outlook 2003, 2007 sowie 2010 unter Windows XP, auch wenn Sie das SP3 installiert haben: Programme unter XP SP3 können keine E-Mail-Nachrichten validieren, wenn diese Nachrichten mittels SHA-2 signiert wurden. XP-Nutzer können ihre Outlook-Nachrichten lediglich mit den veralteten Verfahren SHA-1 oder gar mit dem als unsicher eingestuften MD5 signieren. Für SHA-2-Signaturen ist mindestens Windows Vista mit Outlook (mind. 2003) notwendig. Möchten Sie SHA-2-Nachrichten signieren und validieren, benötigen Sie mindestens Vista und Outlook 2007.

 

Wir warnen explizit vor der weiteren Verwendung von Windows XP. Abgesehen davon, dass der Support ausgelaufen ist, hält die Sicherheit des Betriebssystems nicht mehr den Anforderungen stand. In einer zusammenfassenden Tabelle können Sie, hier in unserer Knowlege-Base, die Unterstützung von SHA-2 einsehen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.